LINUX:Chkrootkit
→ retour au menu pour contrer les attaques
But
"chkrootkit" est un autre programme Unix qui permet de détecter les rootkits.
Installation
Pour installer le logiciel, exécutez la commande:
dnf install chkrootkit
Utilisation
Son utilisation est simple.
- pour un affichage simple:
chkrootkit
- pour un affichage détaillé:
chkrootkit -x
Si un problème est rencontré, le message affiché présente de mot "INFEXTED".
Automatisation
Pour automatiser cette recherche, nous proposons une procédure à activer régulièrement via le CRON d'Unix.
Procédure
Voici le script nommé "chkrootkit.test.bat" placé dans le répertoire "/manager/chkrootkit":
#!/bin/bash # détection de RootKits CHEMIN="/manager/chkrootkit" cd $CHEMIN # exxécution /usr/bin/chkrootkit > $CHEMIN/chkrootkit.lis # repérage /usr/bin/grep "infect" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.temp /usr/bin/grep -v "not " $CHEMIN/chkrootkit.temp > $CHEMIN/chkrootkit.tmp1 /usr/bin/grep "INFECTED" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp2 /usr/bin/grep "Vulnerable" $CHEMIN/chkrootkit.lis > $CHEMIN/chkrootkit.tmp3 # test LISTE=`/usr/bin/ls $CHEMIN/*.tmp*` TEST=0 for I in $LISTE do if [ -s $I ]; then TEST=1 fi done # nettoyage /usr/bin/rm -f ${CHEMIN}/*.tmp* /usr/bin/rm -f ${CHEMIN}/*.temp # si infecté, envoi d'un mail if [ "$TEST" != "0" ]; then echo -n "Serveur - " > ${CHEMIN}/sysmail.log /usr/bin/hostname >> ${CHEMIN}/sysmail.log echo " " >> ${CHEMIN}/sysmail.log date >> ${CHEMIN}/sysmail.log echo " " >> ${CHEMIN}/sysmail.log echo "Machine infectee (Chkrootkit)" >> ${CHEMIN}/sysmail.log echo " " >> ${CHEMIN}/sysmail.log /bin/mail -s "Problemes de rootkit" root < ${CHEMIN}/sysmail.log /usr/bin/rm -f ${CHEMIN}/sysmail.log fi
En cas de détection positive, un mail est envoyé à "root".
Il faut donner les privilèges d'exécution:
chmod 700 /manager/chkrootkit/chkrootkit.test.bat
CRON
Pour l'automatisation, on ajoute une ligne dans le fichier "/etc/crontab":
# Vérification de RootKits 10 * * * * root /manager/chkrootkit/chkrootkit.test.bat > /manager/chkrootkit/chkrootkit.log
Dans cet exemple, on l'exécute toutes les heures mais on pourrait ne l'exécuter qu'une fois par jour .
→ retour au menu pour contrer les attaques